Vdor v strežnik (IIS, Windows Server 2008 R2)

Ker sam nimam več idej, kako bi zakrpal luknjo na svojem strežniku, povprašam za nasvet še tukaj na forumu. Skratka, strežnik z Windows Server 2008 R2, ki ga med drugim uporabljam za gostovanje lastnih .NET rešitev, obenem pa imam na njem še par starejših spletnih strani od kolegov in znancev, je pred kratkim doživel več vdorov.

V 5 letih, odkar je strežnik online, še nisem bil priča čem podobnem. Strežnik se redno posodablja z Windows Updates, Firewall je aktiven tako na routerju kot na strežniku. Pred dobrim tednom dni sem od cert.si prejel e-mail, da so naših spletnih straneh zaznali "defacement" napad. Torej, hackerjem je uspelo nekako uploadati naključne datoteke (bodisi .txt ali .php), v katerih so se podpisali. Druge škode niso naredili. Datoteke sem nemudoma pobrisal in pričel iskati luknjo, kako je lahko do tega prišlo. Datoteke so se namreč pojavile na root mapi praktično vseh spletnih strani.

Sprva sem posumil na FTP, vendar je le-ta že na nivoju routerja zaščiten, da se lahko do njega dostopa le iz nekaj znanih statičnih IP številk (npr. moja domača lokacija itd.). Enako so zaščiteni tudi SVN in RDP. Navzven je torej odprt le port 80. Drugi pomislek je bila ena izmed teh starejših strani, saj sem pri prvem vdoru v logih zasledil, da so prvo datoteko uploadali ravno na strani, ki jo gostujem za znanca in že od samega začetka ni bila posodobljena (pred leti mu jo je nekdo postavil na odprtokodni platformi Joomla 1.x). Preko image handlerja so uspeli uploadati .gif datoteko, ki ni bila .gif slikca temveč koda, ki je dopustila, da so naknadno uploadali še .php datoteko. Stran sem nemudoma deaktiviral in pobrisal uploadano. Nato je bilo 2 dni zatišja, stran sem pustil do nadaljnega deaktivirano, iznenada pa ponovni vdor. V zadnjem tednu dni sem tako vztrajno brisal datoteke, ki mi jih naključni hackerji uploadajo v root mape spletnih strani. Glede na pogostost vdorov, imam ravno takšen občutek, kot da bi se me podajali med seboj :) Vse datoteke, ki jih uploadajo si jih tudi sproti shranjujem, čeprav so povečini kriptirane, tako da na prvi pogled težko ugotoviš, kaj so poleg podpisa, želeli narediti.

Skratka, počasi izgubljam ideje, kaj še preveriti in kako zaščititi strežnik pred tovrstnimi dogodki. Nekateri hackerji se podpišejo tudi z e-mailom ali FB kontaktom, vendar sem verjetno prevelik optimist, da bi mi kateri izmed njih razkril, kako jim uspeva :)
Je možno, da ima že sam IIS kakšno varnostno luknjo, klub temu, da je strežnik up-to-date?

Za kakršenkoli nasvet se že vnaprej zahvaljujem!

23 odgovorov

Eno vprašanje.
Učiraj zvečer sem dobil na elektronski naslov sporočilo od Firewall plug-ina:

WordPress Simple Firewall has blocked a page visit to your site.
Log details for this visitor are below:
- IP Address: 178.172.181.58
- Page Request URI: /?npage=-1&contentdir=%00&cmd=ls=http://www.google.com/humans.txt?
- Visitor IP was neither white-listed nor black-listed. Firewall checking started...
- Page parameter failed firewall check. The offending value was
- Firewall Blocked: Field Truncation
- Firewall Block Response: Visitor connection was killed with wp
die() and message
You can look up the offending IP Address here: http://ip-lookup.net/?ip=178.172.181.58

Kaj to je poskus napada tako, da hoče ugototivit geslo najbrš. Bilo je tam okoli 20 napadov v roku ene ure.

Predlagam ti, da narediš naslednje:

  • preveri dostope (uporabniške pravice, do katerih datotek imajo dostop) -> kakor razberem v tvojem primeru ni problem v samem aplikativnem strežniku IIS ampak v sami kodi tvojih spletnih strani, ker imajo luknjo, da nepridipravim omogočajo zagon poljubne skripte na tvojem strežniku
  • preveri log (kdo ti je dostopu do katerih failov -> to kar si že naredil)
  • downloadi si dol operacijski sistem Kali (http://www.kali.org/), kjer imaš dost opensource orodij za preverit spletne aplikacije in spust čez svoje aplikacije..

Lahko ti pa jaz pregledam spletne strani, mi pa pošlji ZS

(tale report od FW je pa sam testiranje nepridipravih za morebitne lunkje v tvojem sistemu, torej če dobi seznam datotek v direktoriju z ukazom -> cmd=ls)

Hvala vsem za nasvete. Od sredine februarja, ko sem omejil dostope tistim nekaj PHP stranem, ki jih gostujem na strežniku, vdorov ni bilo več. Sem pa kot zanimivost danes ponovno preveril FB profil uporabnika, ki je bil eden izmed napadalcev in se o opravljenem podvigu pohvalil in mimogrede opazil, da za iskanje exploitov in sam napad uporablja orodje Armitage.

1